Drugie konto root

0

Jestem nowy w systemie Linux, więc przepraszam, jeśli mój problem jest trochę mylący.

Chciałbym wykonać następujące czynności:

  • utwórz drugie konto główne

  • napisz plik przy użyciu tego konta

  • pierwsze konto root nie powinno być w stanie edytować tego pliku (ani żadnych innych kont).

Czy to możliwe?

linux unix user-accounts arch-linux root evfwcqcg
źródło
7
To jest problem „Jestem wszechmocną istotą, która chciałaby stworzyć skałę, której nie mogę podnieść” ... najlepiej możesz zaszyfrować plik, co zapobiega jego odczytaniu lub zmianie, ale nie zapobiega jego uszkodzeniu lub usunięciu .
pjc50
1
Czy SE Linux obsługuje kontrolę dwuosobową? Oznacza to, że działania sys admin (root) nie zaczynają obowiązywać, dopóki nie zostaną zatwierdzone przez administratora bezpieczeństwa?
mpez0

Odpowiedzi:

10

Mówiąc efektywnie, nie, nie możesz tego zrobić. możesz to zrobić za pomocą sudo, ale ostatecznie, jeśli masz moc uid = 0, możesz zrobić, co chcesz.

Keltor
źródło
11

To, czego tak naprawdę chcesz, to mieć dwóch użytkowników z jednakowymi uprawnieniami. Żaden z nich nie jest root.

Der Hochstapler
źródło
2

Celem konta root jest możliwość zrobienia wszystkiego. Musi być używany tylko przez administratora systemu i używany tylko w razie potrzeby.

Każdy użytkownik (nawet administrator) powinien korzystać ze zwykłego konta.

Więc kto jest administratorem systemu? Ten, który będzie używał pierwszego konta czy drugiego?

Nie można utworzyć drugiego konta głównego.

Koncepcja konta root ma być unikalna i móc robić wszystko

Nettogrof
źródło
1

Jak już wspomniano, root to root. To, czego możesz chcieć, to zaszyfrowane pliki. Oto opakowanie za pomocą Bcrypt

#!/bin/sh
[ "${1##*.}" == "bfe" ] && BASENAME=${1%.bfe} || BASENAME=${1}
BASENAME=${BASENAME##*/}
MD5=`echo "$USER:$BASENAME"|md5sum`
echo "${MD5:0:32}
${MD5:0:32}" |bcrypt "$1"

Ten pozwala użytkownikom na szyfrowanie własnych plików, ale używa tylko md5 sumy nazwy użytkownika i nazwy pliku dla „soli”.

Jeśli chcesz uzyskać naprawdę paranoję można użyć jakiegoś pseudo-steganografii z opcją -o bcrypt i >> jakiegoś-large.jpg (pisałem częściowy przykład tutaj : ... po prostu jako dowód koncepcji)

Innym sposobem na to byłoby osadzenie pliku w programie ac, aby wypluł dane tylko wtedy, gdy getenv (USER) pasuje do nazwy konta administratora

oczywiście nic z tego nie pozwoli rootowi na przenoszenie, zmianę nazwy, usuwanie ... tylko na edycję w użyteczny sposób

technozaur
źródło
0

Uważam, że pytasz o kontrolę dostępu opartą na rolach lub RBAC. Od dłuższego czasu jest to standardowa część systemów Windows i Solaris. W świecie Linuksa musisz spojrzeć na używanie SELinux. Wydaje mi się, że jest to trochę zbyt skomplikowane, by znaleźć tutaj post, ale powinieneś być w stanie znaleźć samouczek, przeglądając „SELinux RBAC”

JOTN
źródło